Cloudflare에서 HAR을 세탁(?)하는 서비스를 공개했습니다.

최근 인증 서비스인 Okta에서 보안 사고가 발생했는데 이는 고객센터에 문제 상황을 보고하면서 HAR 파일을 올리면서 HAR 파일에 포함된 인증정보가 같이 유출되면서 발생한 사고로 알려졌습니다. HAR은 HTTP Archive 형식으로 HTTP 요청과 응답이 다 기록되므로 디버깅에는 효율적이지만 쿠키나 JWT같은 인증정보도 다 포함되게 됩니다.

이번에 Cloudflare에 공개한 페이지는 HAR 파일을 올리며 쿠키와 JWT 등을 모두 제거하고 HTTP 요청만 볼 수 있게 세탁해 줍니다. 이 작업은 서버에서 하는게 아니라 클라이언트에서 진행되므로 Cloudflare에서도 이 정보는 볼 수 없다고 합니다.

디버깅이나 기록 용으로 HAR 파일을 로컬에 저장하는 경우도 많은데 예상치 못하게 HAR에서 인증정보가 유출되는 경우도 많으므로 이 페이지를 이용해서 인증정보를 제거해두면 도움이 될 것 같습니다.

https://blog.cloudflare.com/introducing-har-sanitizer-secure-har-sharing/